Fiserv

Los administradores del sistema Fiserv pasaron horas configurando servidores para cumplir con las referencias de seguridad de PCI, SOX-Cobit y CIS; para recuperar los datos de cumplimiento, tenían que iniciar sesión en los servidores individualmente.

Fiserv está adoptando IBM® PowerSC Standard Edition (PowerSC) en toda su cartera IBM® Power Systems, optimizando la configuración del servidor y desbloqueando capacidades de cumplimiento e informes en tiempo real.

La misión de Fiserv es ayudar a los clientes a hacer circular dinero e información de una manera que mueva el mundo. La empresa se especializa en tecnología de servicios financieros, proporcionando soluciones para pagos, servicios de procesamiento, gestión de clientes y canales, riesgo y cumplimiento, e insights y optimización.

La gestión de transacciones financieras implica necesariamente intercambiar, almacenar y procesar datos confidenciales. Fiserv debe demostrar constantemente a los clientes y auditores que gestionará estos datos de forma responsable, y ganarse la confianza de los clientes es una de sus principales prioridades.

Como resultado, el equipo de TI de la empresa se toma muy en serio la seguridad. Sus sistemas de TI están sujetos a múltiples auditorías internas y externas complejas cada año, y se espera que cumplan con numerosos estándares industriales y regulatorios. Sin embargo, las auditorías regulares no son suficientes para garantizar el cumplimiento continuo: la empresa también debe supervisar sus sistemas las 24 horas del día, los 7 días de la semana para garantizar que cada servidor mantenga la configuración correcta en todo momento.

Como punto de referencia para configurar sus sistemas, Fiserv utiliza un marco de seguridad de mejores prácticas conocido como punto de referencia de Center for Internet Security (CIS). Se espera que cada uno de sus servidores cumpla tanto con la configuración obligatoria como con un umbral de puntuación general mínimo con los estándares definidos en el punto de referencia.

Zach Floen, ingeniero de sistemas de alimentación IBM en Fiserv, explica: “Desde una perspectiva de seguridad, la configuración ideal para un servidor sería bloquearlo completamente, para que no pueda intercambiar ningún dato con ningún otro sistema. Pero si un servidor no puede comunicarse, no puede hacer nada útil”.

Aunque Fiserv ya monitoreaba la configuración de seguridad de sus servidores, buscaba una gestión integral más integrada del cumplimiento de la normativa en toda su cartera de servidores. Por ejemplo, si los ingenieros de la empresa necesitaban instalar un nuevo servidor, tenían que pasar cuatro o cinco horas trabajando manualmente en una lista de verificación para "endurecer" la configuración y pasara el umbral de cumplimiento.

De manera similar, el equipo a menudo necesitaba realizar cambios temporales en la configuración del servidor mientras realizaba el mantenimiento y las actualizaciones. Los ingenieros tuvieron que implementar estos cambios manualmente y luego restaurar los servidores a su configuración original una vez que se completaron las tareas de mantenimiento. Aunque Fiserv contaba con estrategias para mitigar los riesgos de olvidar restaurar la configuración correctamente, la empresa quería encontrar una manera de eliminar la posibilidad de error humano controlando los cambios de configuración de forma centralizada y automática.

Por último, el equipo quería agilizar sus procesos de elaboración de informes de cumplimiento y eliminar las largas tareas que tenían que realizar los administradores, como tener que recuperar manualmente los informes de cumplimiento de un gran número de servidores.

Una proporción significativa de la arquitectura de servidores de Fiserv consiste en servidores IBM® Power Systems que ejecutan el sistema operativo IBM® AIX para admitir bases de datos y sistemas financieros centrales. Cuando la empresa comenzó a revisar sus opciones para una nueva plataforma de administración de cumplimiento de normas, descubrió que IBM ofrece una solución a medida: IBM PowerSC. “IBM PowerSC está evolucionando rápidamente hasta convertirse en una herramienta muy potente y capaz para la gestión del cumplimiento”, afirma Zach Floen. “Ofrece capacidades que nuestras herramientas existentes no tienen y está incluido como parte de nuestra licencia AIX Enterprise existente, por lo que no tenemos que preocuparnos por costos adicionales”. En ese momento, Fiserv se estaba preparando para racionalizar su escenario IBM AIX al reunir grupos dispares de servidores en un único entorno de nube privada. Esta iniciativa presentó una oportunidad perfecta para hacer el cambio de la herramienta de cumplimiento de normas existente de la empresa a PowerSC.

A medida que Fiserv implementa el software PowerSC en su cartera AIX, el equipo está entusiasta por usar las características de automatización de cumplimiento de la solución.

Por ejemplo, PowerSC monitorea una lista de programas que pueden ejecutarse en cada servidor y notifica a los administradores si se ejecutan programas no autorizados. Durante las sesiones de mantenimiento, esta característica puede desactivarse para grupos de servidores y volver a activarse automáticamente al cabo de cierto tiempo. Como resultado, los ingenieros ya no necesitan cambiar las configuraciones manualmente durante el mantenimiento, lo que reduce de manera significativa el riesgo de dejar un sistema expuesto accidentalmente.

PowerSC también proporciona perfiles de seguridad predefinidos que respaldan los estándares regulatorios y de la industria, como PCI-DSS, HIPAA y RGPD. Los administradores pueden aplicar un perfil a un servidor con un solo clic, en lugar de pasar horas trabajando en una lista de verificación de seguridad para cada nueva máquina.

“Estamos trabajando con IBM para crear un perfil de seguridad que cumpla plenamente con el punto de referencia CIS listo para usarse”, dice Zach Floen. “Una vez que tengamos el perfil en su lugar, podremos eliminar las horas de configuración manual cuando ajustamos máquinas en nuestra plataforma AIX virtualizada más reciente”.

Los perfiles también ayudan a solucionar los problemas de configuración rápidamente, como Zach Floen explica: “Tuvimos la capacidad de monitorear nuestros servidores e identificar cuándo hubo un problema con la configuración de un servidor, pero, para solucionar esos problemas, todavía teníamos que iniciar sesión en las máquinas individuales. Con PowerSC, podemos hacer clic en un botón en la interfaz de administrador y restablecerá inmediatamente el perfil al estado correcto”.

Fiserv ha experimentado importantes ahorros de tiempo en sus procesos de supervisión del cumplimiento del servidor y espera ver ahorros aún mayores en el futuro. Actualmente, recuperar información de cumplimiento de cada servidor es un proceso manual y que requiere mucho tiempo. Con PowerSC, el equipo puede generar un informe automáticamente en unos segundos.

Zach Floen concluye: “Para Fiserv, se trata de algo más que de cumplir las normas: se trata de ganarnos la confianza de nuestros clientes, y eso requiere un entorno seguro”.

Fiserv es una de las principales empresas de tecnología de servicios financieros del mundo, con alrededor de 24 000 empleados e ingresos anuales de 5.7 mil millones de dólares en 2017. Las soluciones de la empresa empoderan a más de 12 000 clientes en más de 80 países en todo el mundo, y ayudan a millones de consumidores y empresas a mover y administrar dinero de manera rápida y conveniente.